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@ Verfahren zum Erbringen von Diensten in einem Datenubertragungsnetz und zugehdrige Komponenten 

@ Erlautert wird unter anderem ein Verfahren, bei dem 
eine Zugangsfunktion (36) fur mehrere Dienstnutzungs- 
rechner (18) abhangig von Anforderungen von der Seite 
eines Dienstnutzungsrechners (18) eine Verbindung zwi- 
schen dem Dienstnutzungsrechner (18) und einem durch 
einen Dienstnutzer (A) ausgewahlten Diensterbringungs- 
rechner (22 bis 26) ermoglicht. Das Zwischenschalten ei- 
ner Zugangsfunktion (36) und das Verwenden einer Pru- 
feinheit (38) ermoglicht die Sicherung von vertrauensvoll 
zu behandelnden Nutzdaten. 
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Beschreibung 

[0001] Die Erfindung betrifft ein Verfahren, bei dem eine 
Zugangsfunktion fur mehrere Dienstnutzungsrechner eine 
Verbindung zwischen dem Dienstnutzungsrechner und ei- 5 
nem Diensterbringungsrechner ermoglicht. 
[0002] So lasst sich mit Hilfe der Zugangsfunktion die In- 
ternetseite eines Unternehmens aufrufen, das seine Dienst- 
leistungen iiber das Internet verkauft. Die Zugangsfunktion 
priift unter anderem die Identitat des Dienstnutzers, bei- 10 
spielsweise durch Abfrage eines Passwortes. 
[0003] Bisher war es ublich, dass jedes Untemehmen 
seine eigene Zugangsfunktion hatte und dass die Kundenda- 
ten von jedem Untemehmen einzein und damit unter Um- 
standen mehrfach gespeichert worden sind. Die Sicherheit 15 
der Kundendaten ist bei einer solchen verteilten Speiche- 
rung der Kundendaten nur eingeschrankt gewahrleistet. 
Aufgrund dieser Einschrankungen der Sicherheit entwik- 
kelte sich ein Handel mit Kundendaten. Durch einen solchen 
Handel sinkt die Akzeptanz der Diensterbringungsverfahren 20 
iiber das Internet erheblich, insbesondere wenn Kundenda- 
ten gehandelt werden, die im Zusammenhang mit der Kauf- 
kraft, dem Kreditrahmen oder anderen finanziellen Daten 
der Kunden stehen. 

[0004] Es ist Aufgabe der Erfindung, zum Erbringen von 25 
Diensten in einem Dateniibertragungsnetz ein einfaches 
Verfahren anzugeben, das es insbesondere gestattet, Kun- 
dendaten vor Missbrauch besser zu schutzen als bisher. Au- 
Berdem sollen ein zugehoriges Programm und eine zugeho- 
rige Datenverarbeitungsanlage angegeben werden. 30 
[0005] Die auf das Verfahren bczogenc Aufgabe wird 
durch die im Patentanspruch 1 angegebenen Verfahrens- 
schritte gelost. Weiterbildungen sind in den Unteransprii- 
chen angegeben. 

[0006] Die Erfindung geht von der Oberlegung aus, dass 35 
zum Sichern der Kundendaten ein erheblicher Aufwand er- 
forderlich ist, der die Akzeptanz der Erbringung von Dien- 
sten iiber das Internet auf der Seite der Dienstanbieter sen- 
ken wiirde. Um dem aber entgegenzuwirken, wird beim er- 
findungsgemaBen Verfahren eine Zugangsfunktion verwen- 40 
det, die eine Verbindung zwischen einem Dienstnutzungs- 
rechner und einem von mehreren durch einen Dienstnutzer 
auswahlbaren Diensterbringungsrechner ermoglicht. AuBer- 
dem wird eine zentrale Datenbank eingerichtet, in der fiir 
die verschiedenen Dienstnutzer zu sichemde Nutzerdaten 45 
gespeichert werden, die zur Erbringung der Dienste ver- 
schiedener Diensterbringungsrechner erforderlich sind. 
Durch diese Zentralisiening der Zugangsfunktion und der 
Datenbank lasst sich der Aufwand fur die Sicherung der 
Kundendaten auf eine Vielzahl verschiedener Diensterbrin- 50 
ger verteilen. Die Akzeptanz auf der Seite der Diensterbrin- 
ger steigt also. 

[0007] Durch das Verwenden der zentralen Datenbank 
kann auch den Dienstnutzern zugesichert werden, dass ihre 
Daten vor Missbrauch geschiitzt sind. Somit erhoht sich die 55 
Akzeptanz von Verfahren zur Diensterbrin gung iiber ein Da- 
teniibertragungsnetz auch auf der Seite der Dienstnutzer, 
[0008] Das erfindungsgemaBe Verfahren geht auBerdem 
von der LFberlegung aus, dass die zu sichemden Kundenda- 
ten zwar im Rahmen der Diensterbringung erforderlich sind, 60 
jedoch nicht unbedingt dem Diensterbringer ubergeben wer- 
den mussen. Deshalb wird beim erfindungsgemaBen Verfah- 
ren nach der Verbindungsaufnahme zwischen einem Dienst- 
nutzungsrechner und einem ausgewahlten Diensterbrin- 
gungsrechner im Rahmen der Diensterbringung fur den den 65 
Dienstnutzungsrechner nutzenden Dienstnutzer an eine zen- 
trale Prufeinheit eine Anforderung gestellt. Diese Anforde- 
rung betrifft beispielsweise die Zusicherung der Zahlungsfa- 
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higkeit des Dienstnutzers. Die Anforderung kann nur unter 
Zugriff auf zu sichernde Nutzerdaten des Dienstnutzers be- 
arbeitet werden. So sind beispielsweise Deckungszusagen 
einer Bank fur spatere Nachweiszwecke zu speichem. An- 
dererseits wird aber auch eine fruhere Deckungszusage ge- 
iesen, falls sie noch gultig ist. Eine Priifeinheit, die unabhan- 
gig von den Diensterbringungsrechnern arbeitet, bearbeitet 
die Anforderung unter Zugriff auf zu sichemden Nutzerda- 
ten des Dienstnutzers. Nur das Bearbeitungsergebnis nicht 
aber ein zu sichemdes Nutzerdatum selbst wird von der Prii- 
feinheit an den die Anforderung stellenden Diensterbrin- 
gungsrechner iibermittelt. Der betreffende Diensterbrin- 
gungsrechner erbringt dann seinen Dienst abhangig vom 
Bearbeitungsergebnis. Durch diese MaBnahme wird also er- 
reicht, dass die zu sichemden Kundendaten selbst nicht an 
einen Diensterbringungsrechner iibermittelt werden mus- 
sen. Nur die Prufeinheit hat Zugriff auf die zu sichemden 
Daten. Damit ist ein Handel mit den zu sichemden Kunden- 
daten erschwert und einem Missbrauch wird wirksam vor- 
gebeugt. 

[0009] Bei einer Weiterbildung des erfindungsgemaBen 
Verfahrens gehoren die Diensterbringungsrechner verschie- 
denen Betreibem. Nach der Anwahl eines Diensterbrin- 
gungsrechners wird dessen Berechtigung zum Stellen von 
Anforderungen mit Hilfe eines Berechtigungspriifverfah- 
rens gepriift. Das Bearbeitungsergebnis wird nur bei beste- 
hender Berechtigung von der Prufeinheit an den Dienster- 
bringungsrechner iibermittelt. Bei fehlender Berechtigung 
wird kein Bearbeitungsergebnis iibermittelt. Bei fehlender 
Berechtigung muss die Anforderung nicht bearbeitet wer- 
den. Durch das Priifen der Berechtigung zur Seite der Dien- 
sterbringungsrechner hin lasst sich gewahrleisten, dass 
keine Anforderungen durch Unberechtigte gestellt werden, 
weiche die Bearbeitungsergebnisse dann missbrauchlich 
verwenden konnten. 

[0010] Bei einer anderen Weiterbildung des erfindungsge- 
maBen Verfahrens werden die zu sichemden Nutzerdaten 
verschlusselt gespeichert. Die Diensterbringungsrechner ha- 
ben keinen Zugang zu einem zum Entschliisseln erforderli- 
chen digitalen Schlussel. Das Verschlusselungsverfahren 
bzw. ein zu verwendender Schlussel lasst sich mit Hilfe kon- 
struktiver und/oder elektronischer SicherungsmaBnahmen 
geheimhalten. Selbst wenn die zu sichemden Kundendaten 
durch Unbefugte kopiert werden, sind diese nicht im Besitz 
des zum Entschliisseln erforderlichen Schliissels. Damit 
bleiben die zu sichemden Daten trotz des unberechtigten 
Kopierens vor Missbrauch geschiitzt. 
[0011] Bei einem zweiten Aspekt der Erfindung, der auch 
als eine nachsten Weiterbildung des erfindungsgemaBen 
Verfahrens nach dem zuvor erlauterten Aspekt der Erfin- 
dung auftritt, sind in einer Datenbank Dienst-Nutzerdaten 
gespeichert, die dienstbezogene Daten fur die Dienstnutzer 
einzelner Diensterbringungsrechner enthalten. Nach der An- 
wahl eines Diensterbringungsrechners wird dessen Berech- 
tigung zum Empfangen von Dienst-Nutzerdaten betreffend 
den durch ihn erbrachten Dienst gepriift. An den ausgewahl- 
ten Diensterbringungsrechner werden die angeforderten 
Dienst-Nutzerdaten nur bei bestehender Berechtigung iiber- 
mittelt. Ubermittelt werden immer nur die dienstbezogenen 
Daten desjenigen Dienstnutzers, der den ausgewahlten 
Diensterbringungsrechner ausgewahlt hat. Der Dienster- 
bringungsrechner erbringt dann seinen Dienst unter Verwen- 
dung der ubermittelten Dienst-Nutzerdaten. Durch die Prii- 
fung der Berechtigung zum Empfangen von Dienst-Nutzer- 
daten lasst sich gewahrleisten, dass die Dienst-Nutzerdaten 
einzelner Diensterbringer nicht missbrauchlich an Dritte 
iibermittelt werden. 

[0012] Bei einer Ausgestaltung ist die Datenbank zum 
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Speichern der Dienst-Nutzerdaten Bestandteil der zenlralen 
Datenbank. Bei einer anderen Ausgestaltung wird zum Prii- 
fen der Berechtigung fiir das Stellen von Anforderungen 
und zum Priifen der Berechtigung fiir das Empfangen von 
dienstbezogenen Dienst-Nutzerdaten dasselbe Priifverfah- 5 
ren ausgeftihrt Somit ist jeweils nur ein Berechtigungspriif- 
verfahren auszufuhren. 

[0013] Bei einer Weiterbildung des Verfahrens mit einer 
Datenbank fiir Dienst-Nutzerdaten sind die Dienst-Nutzer- 
daten verschlusselt gespeichert und werden auch verschliis- 10 
selt ubertragen. Verschiedene Diensterbringungsrechner 
verwenden verschiedene digitale Schliissel zum Entschliis- 
seln der Dienst-Nutzerdaten. Durch diese MaBnahme wird 
gewahrleistet dass die Dienst-Nutzerdaten nur durch den 
berechtigten Diensterbringer entschliisselt werden konnen. 15 
Andere Diensterbringungsrechner und auch der Betreiber 
der Datenbanken sind nicht in der Lage, die Dienst-Nutzer- 
daten zu entschliisseln. Damit iassen sich die Dienst-Nutzer- 
daten wirksam vor Missbrauch schiitzen. Die Speicherung 
der Dienst-Nutzerdaten auBerhalb des den Dienst erbrin- 20 
genden Unternehmens wird so leichter akzeptiert 
[0014] Bei einer weiteren Ausgestaltung des Verfahrens 
mit Verwendung von Dienst-Nutzerdaten sind die Dienst- 
Nutzerdaten zusatzlich oder alternativ mit einem zentralen 
Verschlusselungsverfahren verschlusselt. Zum Entschlus- 25 
seln der mit dem zentralen Verschlusselungsverfahren ver- 
schliisselten Nutzdaten wird ein digitaler Schlussel verwen- 
det, zu dem die Diensterbringungsrechner keinen Zugang 
haben. Durch diese MaBnahme lassen sich sowohl von den 
Diensterbringungsrechnem kommende unverschlusselte 30 
Daten als auch verschlussclte Daten nach dem gleichen zen- 
tralen Verfahren sicher speichern. Eine doppelte Verschlus- 
selung bietet auBerdem eine zusatzliche Sicherheit gegen 
den Missbrauch der dienstbezogenen Daten. 
[0015] Bei einer anderen Weiterbildung des erfindungsge- 35 
maBen Verfahrens werden in einer von mehreren Dienster- 
bringungsrechnem genutzten Datenbank digitale Daten iiber 
Zahlungsvorgange fur verschiedene Diensterbringungsrech- 
ner gespeichert. Diese Datenbank ist beispielsweise Be- 
standteil der zentralen Datenbank. Es lassen sich die oben 40 
genannten Verschlusselungsverfahren auch zum Sichem der 
Daten iiber die Zahlungsvorgange einsetzen. AuBerdem 
wird eine Berechtigungspriifung vor der Ubermittlung der 
Daten iiber die Zahlungsvorgange ausgefuhrt 
[0016] Bei einer weiteren Weiterbildung des erfindungs- 45 
gemaBcn Verfahrens wird die Berechtigung des Dienstnut- 
zers unter Verwendung eines Berechtigungsprufverfahrens 
gepriift. Die Auswahl wird nur beim Voriiegen einer Be- 
rechtigung zugelassen. Durch diese Berechtigungspriifung 
lasst sich ein Missbrauch von der Seite der Dienstnutzer her 50 
verhindern. 

[0017] Bei einer nachsten Weiterbildung wird die Berech- 
tigungspriifung bzw. werden die Berechtigungspriifungen 
unter Verwendung von digitalen Schlusseln durchgefiihrt, 
die von mindestens einer Zertifizierungsstelle erzeugt wor- 55 
den sind. Die Zertifizierungsstelle selbst ist Teil einer Zerti- 
fizierungskette. Das Verwenden von digitalen Schlusseln 
bietet gegeniiber dem Nutzen von Passwortern eine erhohte 
und beim zusatzlichen Verwenden von Passwortern eine zu- 
satzliche Sicherheit. Eine Zertifizierungs-Infrastruktur lasst 60 
sich beispielsweise gemaB Standard X.509 der ITU-T (Inter- 
national Telecommunication Union - Telecommunication 
Sector) aufbauen. Eingesetzt werden aber auch andere Infra- 
strukturen, z. B. eine Infrastruktur gemaB den Vorgaben der 
IETF (Internet Engineering Task Force) im Request for 65 
Comment 2459, Januar 1999. Das Aufbauen soicher Infra- 
strukturen und das Einbeziehen in das erfindungsgemaBe 
Verfahren gewahrleistet alien beteiligten Seiten eine hohe 
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Sicherheit Beispielsweise lassen sich ungultige Schlussel 
auf einfache Art und Weise sperren. 
[0018] Bei einer anderen Weiterbildung wird ein geheim- 
zuhaltender digitaler Schliissel fiir das Verschlusseln einge- 
setzt Der geheimzuhaltende Schlussel wird in einer elektro- 
nisch gesicherten Speichereinheit gespeichert. Bei einer 
Ausgestaltung ist die gesicherte Speichereinheit Bestandteil 
einer sogenannten Chipkarte, die einen eingegossenen Pro- 
zessor und die gesicherte Speichereinheit enthalt. Die gesi- 
cherte Speichereinheit lasst sich ausschlieBlich durch diesen 
Prozessor lesen und schreiben. Vor dem Zugriff wird bei ei- 
ner Ausgestaltung eine Berechtigungspriifung ausgefuhrt, 
die beispielsweise die Abfrage eines Passwortes oder einer 
Geheimnummer enthalt Vorzugsweise wird ein asymmetri- 
sches Verschlusselungsverfahren eingesetzt. 
[0019] Bei einer anderen Weiterbildung des erfindungsge- 
maBen Verfahrens betrifft die Anforderung die Absicherung 
einer Zahlung. Die Absicherung der Zahlung ist das Kem- 
stuck der Diensterbringung iiber ein Datenubertragungsnetz 
und fur die Akzeptanz dieser Verfahren daher besonders 
wichtig. So werden Anforderungen gesteilt mit denen durch 
einen Dritten die Haftung fur den Fall ubernommen wird, 
dass der Dienstnutzer den genutzten Dienst nicht zahlt 
Diese Zusicherungen sind bei einer Ausgestaltung zeitlich 
begrenzt, beispielsweise auf einen Tag oder auf die Zeit- 
dauer einer Verbindung zwischen Dienstnutzer und Dien- 
sterbringungsrechner. 

[0020] Bei einer anderen Weiterbildung des erfindungsge- 
maBen Verfahrens stellt die Priifeinheit zur Bearbeitung der 
Anforderung eine Anfrage zum Erhalt eines Zahlungszerti- 
fikats an einen Zertifizierungsrechner. Der Zertifizierungs- 
rechner erzeugt ein digitales Zahlungszertifikat das die Zah- 
lung absichert. Das Zahlungszertifikat wird dann iiber die 
Prufeinheit zum Diensterbringungsrechner weitergeleitet. 
Auch zum Erzeugen des digitalen Zahiungszertiflkates wer- 
den bei einer Ausgestaltung Verschliisselungs- und/oder Un- 
terschriftsverfahren unter Verwendung von digitalen 
Schlusseln eingesetzt Auch der Zertifizierungsrechner ist 
bei einer Ausgestaltung Teil einer Zertifizierungsinfrastruk- 
tur. Die vom Zertifizierungsrechner ausgestellten Zertifikate 
haben eine kiirzere Gultigkeitsdauer als die Zertifikate fiir 
die digitalen Schlussel. Durch die kiirze Gultigkeitsdauer 
lasst sich ein Missbrauch der Zahlungszertifikate bzw. Zah- 
lungsattribute besser verhindern. Ein Zertifizierungsrechner 
ist bei einer Ausgestaltung ein sogenannter TrustedA-Rech- 
ner (Trusted Authorizer), wie cr von der irischen Firma SSE 
verkauft wird, siehe www.sse.ie. 

[0021] Bei einer alternativen Weiterbildung erzeugt die 
Prufeinheit bei der Bearbeitung der Anforderung selbst ein 
Zahlungszertifikat das die Zahlung absichert. In diesemFall 
ist die Prufeinheit beispielsweise im Besitz eines Bankinsti- 
tutes bzw. eines Kreditinstitutes. Das durch die Prufeinheit 
erzeugte Zahlungszertifikat wird auch an den Diensterbrin- 
gungsrechner weitergeleitet. Der Diensterbringungsrechner 
priift dann beispielsweise das Zahlungszertifikat und veran- 
lasst die Diensterbringung, falls das Zahlungszertifikat gul- 
tig ist und die Anforderung bestatigt. 
[0022] Bei einer nachsten Weiterbildung erbringen die 
Diensterbringungsrechner die Funkuonen elektronischer 
Kaufplattformen und/oder elektronischer Dienstleistungs- 
plattformen, z. B.: 

- Abruf von Musikdaten, Videodaten oder Programmr 
daten, 

- e-Business, Bankgeschafte, Handelgeschafte, 

- Informationsdienste, 

- sichere digitale Sprachiibertragung. 
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[0023] Damit bietet die Zugangsfunktion dem Dienstnut- 
zer Zugang beispielsweise zu einer virtuellen Einkaufs- 
meile. Das erfindungsgemaBe Verfahren wird jedoch auch 
fiir andere Dienste eingesetzt, bei denen zu sichernde Daten 
der Dienstnutzer in die Diensterbringung einbezogen wer- 5 
den, beispielsweise Kreditgeschafte. 
[0024] Die Erfindung betrifFt auBerdem ein Programm mit 
einer Befehlsfolge, bei deren Ausfuhrung durch einen Pro 
zessor das erfindungsgemaBe Verfahren oder eine seiner 
Weiterbildung ausgefiihrt wird. AuBerdem ist eine Daten- io 
verarbeitungsanlage geschiitzt, die ein soiches Programm 
enthalt. Fiir das Programm und die Datenverarbeitungsan- 
lage gelten somit die oben genannten technischen Wirkun- 
gen. 

[0025] Zum Verschlusseln iassen sich asymmetrische Ver- 15 
schlusselungsverfahren einsetzen, z. B. das RS A- Verfahren 
(Revist, Shamir, Adleman). Aber auch symmetrische Ver- 
fahren werden eingesetzt, z. B. der dreifachc DES-Algorith- 
mus (Data Encryption Standard). Ein anderes gebrauchli- 
ches Verschlusselungsverfahren ist beispielsweise das ECC- 20 
Verfahren (Elliptic Curve Cryptographic). 
[0026] Im Folgenden werden Ausfuhrungsbeispiele der 
Erfindung an Hand der beiliegenden Zeichnungen erlautert. 
Darin zeigen: 

[0027] Fig. 1 ein Datenubertragungsnetz und einen Zen- 25 
tralrechner, 

[0028] Fig. 2 Verfahrensschritte zur Erbringung des Dien- 
stes "BuchkauF, 

[0029] Fig. 3 die Bearbeitung einer Zahiungsfahigkeitsan- 
frage, und 30 
[0030] Fig. 4 die Bearbeitung einer Attributanfrage. 
[0031] Fig. 1 zeigt ein Datenubertragungsnetz 10, das ei- 
nen Zentralrechner 12 enthalt. Bestandteil des Datenubertra- 
gungsnetzes 10 sind auch das Internet 14 sowie ein Mobil- 
funknetz 16. Im Internet 14 werden digitale Daten gemaB 35 
Protokoll TCP/IP (Transmission Control Protocol/Internet 
Protocol) ubertragen. Im Mobilfunknetz 16 werden digitale 
Daten beispielsweise gemaB GSM-Standard (Global System 
for Mobile Communication) oder gemaB UMTS-Standard 
(Universal Mobile Telecommunication System) ubertragen. 40 
[0032] Uber das Internet 14 oder das Mobilfunknetz 16 
konnen eine Vielzahl von Dienstnutzern, beispielsweise 
mehrere Tausend, Verbindungen zwischen den von ihnen 
genutzten Endgeraten und dem Zentralrechner 12 aufbauen. 
In Fig. 1 ist das Endgerat 18 eines Dienstnutzers A darge- 45 
stellt. Das Endgerat 18 ist beispielsweise ein tragbarer Rech- 
ner oder ein Mobilfunkgerat und enthalt eine Smartkarte 20. 
[0033] Uber das Internet 14 und das Mobilfunknetz 16 
lassen sich auBerdem Verbindungen zwischen einer Vielzahl 
von Diensterbringungsrechnern und dem Zentralrechner 12 50 
aufbauen. Beispielsweise sind mehrere hundert Dienster- 
bringungsrechner beim Zentralrechner 12 registriert. In Fig. 
1 sind zwei Diensterbringungsrechner 22 und 24 dargestellt, 
die Diensterbringern B und 2 gehoren. Weitere Dienster- 
bringungsrechner 26 sind durch Punkte angedeutet. In den 55 
Diensterbringungsrechnern 22 und 24 sind jeweils vonein- 
ander verschiedene digitale Zertifikate ZB bzw. ZZ gespei- 
chert. 

[0034] Die Smartkarte 20, das Zertifikat ZB und das Zerti- 
fikat ZZ sind von einem PKI-Zentrum 28 (public key infra- 60 
structure) ausgegeben worden, nachdem die Identitat des 
Dienstnutzers A, des Diensterbringers B bzw. des Dienster- 
bringers Z durch eine lokale Ausgabestelle gepriift worden 
sind. Die lokale Ausgabestelle wird auch als LRA-Stelle 
(Local Registration Authority) bezeichnet. Die Ausgabe der 65 
Smartkarte 20 bzw. des Zertifikates ZB wird durch einen 
Pfeil 30 bzw. 32 verdeutlicht. 

[0035] Wird die Smartkarte 20 oder ein Zertifikat ZB, ZZ 
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gesperrt, so benachrichtigt das PKI-Zentrum 28 den Zentral- 
rechner 12, siehe Pfeil 34. Der Zentralrechner 12 schlieBt 
dann die ungultige Smartkarte 20 bzw. die ungiiltigen Zerti- 
fikate ZB, ZZ bei Berechdgungspriifungen von weiteren 
Transaktionen aus. 

[0036] Der Zentralrechner 12 ist ein sehr leistungsstarker 
Rechner und enthalt eine Zugangseinheit 36, eine Priifein- 
heit 38 und eine Datenbank 40. Die Zugangseinheit 36 stellt 
eine Zugangsmoglichkeit fiir die Dienstnutzungsrechner 18 
dar und ist mit dem Internet 14 und dem Mobilfunknetz 16 
verbunden. AuBerdem lassen sich Uber die Zugangseinheit 
36 die Verbindungen zwischen dem Zentralrechner 12 und 
den Diensterbringungsrechnern 22 bis 26 aufbauen, siehe 
Verbindungen 42 und 44. Die Zugangseinheit 36 fuhrt auch 
Berechtigungsprufungen durch, die unten an Hand der Fig. 
2 naher erlautert werden. 

[0037] Die Priifeinheit 38 pruft, ob fiir einen Dienstnutzer 
die Gewahr ubernommen werden kann, dass er zahlungsfa- 
hig ist. Dazu wird ein sogenanntes Zahlungsattribut erzeugt. 
Die dabei ausgefuhrten Verfahrensschritte werden unten an 
Hand der Fig. 3 und 4 naher erlautert. 
[0038] Die Zugangseinheit 36 und die Priifeinheit 38 ha- 
ben ZugrifF auf die Datenbank 40. In der Datenbank 40 sind 
Dienstnutzerprofile 46 und Dient-Nutzerdaten 48 gespei- 
chert. Die Datenbank 40 wird mit einem kommerziell ver- 
fiigbaren Verzeichnisverwaltungsprogramm verwaltet, z. B. 
mit dem Programm DIRX der Firma SIEMENS AG. Die 
Dienstnutzerprofile 46 enthalten Daten uber die Gewohnhei- 
ten der Dienstnutzer bei der Auswahl der Diensterbrin- 
gungsrechner 22 bis 24. AuBerdem enthalten die Dienstnut- 
zerprofile 46 beispielsweise Angabcn uber einen Kreditrah- 
men, bis zu dem der Betreiber des Zentralrechners die Ge- 
wahr fur die Zahlungsfahigkeit der Dienstnutzer ubemirnmt. 
Die Dienst-Nutzerdaten 48 gehoren, abhangig vom betroffe- 
nen Dienst, dem Erbringer dieses Dienstes. Beispielsweise 
enthalten Dienst-Nutzerdaten 48 fur den Dienst "Buchver- 
kauf \ der durch den Diensterbringungsrechner 22 erbracht 
wird, die folgenden Angaben: 

- die bereits durch einen Dienstnutzer bestellten Bu- 
cher, 

- ein Kennzeichen fur den Dienstnutzer, und 

- Angaben* uber vom Dienstnutzer noch nicht begli- 
chene Rechnungen im Zusammenhang mit den Buch- 
kaufen. 

[0039] Die Dienstnutzerprofile 46 sind mit einem soge- 
nannten offentlichen Schliissel Sl-E (Encryption) ver- 
schlusselt. Beim Lesen der Dienstnutzerprofile 46 aus der 
Datenbank 40 werden die Daten mit Hilfe eines geheimge- 
haltenen privaten Schlussels Sl-D (Decryption) entschlus- 
selt. Die beiden Schliissel Sl-E und Sl-D sind Partner- 
schliissel eines asymmetrischen Verschlusselungsverfah- 
rens. Der private Schliissel Sl-D lasst sich durch konstruk- 
tive und/oder elektronische MaBnahmen im Zentralrechner 
12 geheimhalten. 

[0040] Die Dienst-Nutzerdaten 48 werden in den Dien- 
sterbringungsrechnern 22 bis 26 mit voneinander verschie- 
denen offentlichen Schlusseln der einzelnen Diensterbringer 
verschliisselt, siehe beispielsweise die offentlichen Schliis- 
sel S2-E bzw. S3-E im Diensterbringungsrechner 22 bzw. 
24. AnschlieBend werden die verschliisselten Dienst-Dienst- 
nutzerdaten uber die Verbindung 42 bzw. 44 ubertragen und 
in der Datenbank 40 verschlusselt gespeichert. Andererseits 
lassen sich die Dienst-Nutzerdaten 48 auch verschlusselt aus 
der Datenbank 40 lesen, verschlusselt uber die Verbindung 
42 bzw. 44 zu einem Diensterbringungsrechner 22 bzw. 24 
ubertragen und dort mit Hilfe eines Partnerschlussels S2-D 
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bzw. S3-D entschlusseln. 

[0041] Fig. 2 zeigt Verfahrensschritte zur Erbringung des 
Dienstes "Buchkauf" durch den Diensterbringungsrechner 
22. Will der Dienstnutzer A ein Buch kaufen, so baut er eine 
Verbindung zwischen seinem Dicnstnutzungsrechner 18 5 
und dem Zentralrechner 12 auf, genauer gesagt mit der Zu- 
gangseinheit 36 des Zentralrechners 12. Zwischen Dienst- 
nutzungsrechner 18 und Zugangseinheit 36 wird ein Au- 
thentisierungsverfahren 60 ausgefuhrt, bei dem ein Nutzer- 
kennzeichen des Dienstnutzers A durch die Zugangseinheit 10 
36 erfragt wird. An Hand des Nutzerkennzeichens wird ein 
offentlicher Schlussel S4-E ermittelt, welcher der Partner- 
schliissel zu dem in der Smartkarte 20 gespeicherten Schlus- 
sel S4-D des Dienstnutzers A ist. Unter Verwendung des 6f- 
fentlichen Schlussels Sl-E des Zentralrechners 12 werden 15 
die vom Dienstnutzungsrechner 18 kommenden Daten ver- 
schlusselt. Die Zugangseinheit 36 entschlusselt diese Daten 
mit Hilfe des privaten Schlussels Sl-D. Die von der Zu- 
gangseinheit 36 zum Dienstnutzungsrechner 18 zu ubertra- 
genden Daten werden andererseits in der Zugangseinheit 36 20 
mit Hilfe des offentlichen Schlussels S4-E verschlusselt und 
anschlieBend uber das Internet 14 zum Dienstnutzungsrech- 
ner 18 ubertragen. Im Dienstnutzungsrechner 18 wird zum 
Entschlusseln der von der Zugangseinheit 36 kommenden 
Daten ein privater Schlussel S4-D benutzt, der in der Smart- 25 
karte 20 gesichert gespeichert ist. Vor der Benutzung des 6f- 
fentlichen Schlussels S4-E priift die Zugangseinheit 36, ob 
dieser Schlussel noch giiltig ist. 

[0042] AnschlieBend fordert die Zugangseinheit 36 ein 
Dienstnutzerprofil NP-A des Dienstnutzers A von der Da- 30 
tenbank 40 an, siehe Pfeil 62. An Hand der im Dienstnutzer- 
profil NP-A gespeicherten Daten ersteilt die Zugangseinheit 
36 dem Dienstnutzer A eine Auswahlliste mit Adressen von 
Diensterbringungsrechnern, die er haufig anwahlt. In dieser 
Liste ist auch die Intemetadresse des Diensterbringungs- 35 
rechners 22 vermerkt. 

[0043] Der Dienstnutzer A wahlt aus der Liste einen Dien- 
sterbringungsrechner aus, beispielsweise den Diensterbrin- 
gungsrechner 22, siehe Pfeil 64. In einem nachsten Verfah- 
rensschritt 66 wird zwischen dem Dienstnutzungsrechner 18 40 
und dem Diensterbringungsrechner 22 ein gesicherter tJber- 
tragungskanal aufgebaut. Der Diensterbringungsrechner 22 
ubermittelt an den Dienstnutzungsrechner 18 seinen offent- 
lichen Schlussel S2-E und ein Zertifikat ZB zu seinem of- 
fentlichen Schlussel S2-E. Im Dienstnutzungsrechner 18 45 
wird das Zertifikat zu dem dffcntlichen Schlussel S2-E iiber- 
priift. Es sei angenommen, dass das Zertifikat ZB echt ist. 
[0044] Der Dienstnutzer A verschlusselt die von ihm zu 
sendenden Daten mit Hilfe des offentlichen Schlussels S2- 
E. AuBerdem ubermittelt der Dienstnutzungsrechner 18 sei- 50 
nen offentlichen Schlussel S4-E und einen Verweis auf ein 
Zertifikat zu seinem offentlichen Schlussel S4-E, beispiels- 
weise einen Verweis auf das PKI-Zentrum 28 oder einen 
Verweis auf den Zentralrechner 12. Der Diensterbringungs- 
rechner 22 uberpruft das Zertifikat unter Verwendung min- 55 
destens eines offentlichen Schlussels, dem er vertraut. Das 
Zertifikat sei echt. Vom Diensterbringungsrechner 22 kom- 
mende Daten werden deshalb mit Hilfe des offentlichen 
Schlussels S4-E verschlusselt. 

[0045] Urn sogenannte Replay- Angriffe und sogenannte 60 
Man-in-the-Middle-Angriffe auszuschlieBcn, wird beim 
Aufbau des gesicherten Ubertragungskanals 66 auch ein so- 
genanntes Challenge-Response- Verfahren eingesetzt, bei 
dem Zufallszahlen zwischen dem Dienstnutzungsrechner 18 
und dem Diensterbringungsrechner 22 ausgctauscht werden, 65 
die sich bei jedem Verbindungsaufbau andern. 
[0046] Der Dienstnutzer A wahlt uber den gesicherten 
Ubertragungskanal ein Buch aus und bekundet durch Betati- 
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gen einer Schaltflache sein Kaufinteresse. Danach wird zwi- 
schen dem Diensterbringungsrechner 22 und dem Zentral- 
rechner 12 eine Verbindung aufgebaut, genauer gesagt zwi- 
schen dem Diensterbringungsrechner 22 und der Zugangs- 
einheit 36 des Zentralrechners 12. 

[0047] In einem Verfahrensschritt 68 wird die Berechti- 
gung des Diensterbringungsrechners 22 gepriift Fur diese 
Priifung ubermittelt der Diensterbringungsrechner 22 ein 
Zertifikat ZB zu seinem offentlichen Schlussel S2-E an die 
Zugangseinheit 36. Die Zugangseinheit 36 uberpruft dieses 
Zertifikat ZB. 

[0048] Die vom Diensterbringungsrechner 22 kommen- 
den Daten sind mit Hilfe des offentlichen Schlussels Sl-E 
des Zentralrechners 12 verschlusselt. Der Zentralrechner 12 
kann diese Daten unter Verwendung seines privaten SchlOs- 
sels Sl-D entschlusseln. 

[0049] Auch der Zentralrechner 12 sendet ein Zertifikat zu 
seinem offentlichen Schlussel Sl-E an den Diensterbrin- 
gungsrechner 22. Vor der Verwendung des Schlussels Sl-E 
priift der Diensterbringungsrechner 22 das Zertifikat zu dem 
offentlichen Schlussel Sl-E. 

[0050] Der Diensterbringungsrechner 22 fordert nun Kun- 
dendaten KD-A des Dienstnutzers A vom Zentralrechner 12 
an. In einem Verfahrensschritt 70 werden die Kundendaten 
KD-A aus der Datenbank 40 ausgelesen und an den Dien- 
sterbringungsrechner 22 ubertragen. Die Kundendaten KD- 
A sind dabei mindestens einmal verschlusselt, und zwar mit 
dem offentlichen Schlussel S2-D. 

[0051] Aufgrund der Kundendaten KD-A ersteilt der 
Diensterbringungsrechner 22 automatisch einen Kaufver- 
trag. Die Vertragsdaten werden vom Dienstnutzungsrechner 

18 nach der Eingabe einer PIN (Personal Identity Number), 
einer TAN (Transaction Number) oder eines biometrischen 
Merkmals unter Verwendung des privaten Schlussels S4-D 
unterzeichnet Auch der Diensterbringungsrechner 22 des 
Diensterbringers B unterzeichnet die Vertragsdaten mit sei- 
nem privaten Schlussel S2-D. Die unterzeichneten Daten 
werden zwischen dem Dienstnutzungsrechner 18 und dem 
Diensterbringungsrechner 22 uber den gesicherten Ubertra- 
gungskanal ausgetauscht. 

[0052] Im Diensterbringungsrechner 22 wird die Unter- 
schrift des Dienstnutzungsrechners 18 gepriift. Dazu lasst 
sich der offentliche Schlussel S4-E nutzen. Es sei angenom- 
men, dass die Unterschrift echt ist. Der Dienstnutzungsrech- 
ner 18 priift die Unterschrift des Diensterbringungsrechners 
22 unter Verwendung des offentlichen Schlussels S2-E. 
[0053] In einem Verfahrensschritt 74 stellt der Dienster- 
bringungsrechner 22 eine Anfrage zur Zahlungsabwicklung 
mit dem Dienstnutzer A und gibt dabei den Betrag an, fur 
den der Dienstnutzer A bei ihm Bucher gekauft hat, bei- 
spielsweise DM 300. Die Anfrage und der Betrag werden 
mit Hilfe des privaten Schlussels S2-D einer Unterschrift 
SignB unterschrieben. 

[0054] Die Priifeinheit 38 uberpruft die Unterschrift 
SignB rnit Hilfe des offentlichen Schiiissels S2-E. Es sei an- 
genommen, dass die Unterschrift echt ist. Die Priifeinheit 38 
priift mit Hilfe eines unten an Hand der Fig. 3 niiher eriau- 
terten Verfahrens, ob ein Kreditinstitut eine Deckungszu- 
sage ubemimmt, ob der Betrag im Rahmen einer Kreditver- 
einbarung mit einem Kreditinstitut liegt oder ob der Dienst- 
nutzer A seine Erlaubnis zur sofortigen Abbuchung von sei- 
nem Konto gegeben hat. Es sei angenommen, dass eine Er- 
laubnis zur sofortigen Abbuchung vorliegt. Deshalb be- 
schafft die Prufungseinheit 38 nun nach einem unten an 
Hand der Fig. 4 erlauterten Verfahren ein Zahlungsattribut. 
Die Priifeinheit 38 bucht dann den Betrag von DM 300 vom 
Konto des Dienstnutzers A ab und tiberweist den Betrag auf 
ein Treuhandkonto, urn ihn spater an den Betreiber des 
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Diensterbringungsrechners B zu uberweisen. 
[0055] In einem Verfahrensschritt 76 wird zum Dienster- 
bringungsrechner 22 ein Zahlungsattribut iibertragen, in 
dem bestatigt wird, dass der Dienstnutzer A den Betrag von 
DM 300 bezahlt bzw. bezahlt hat. Das Zahlungsattribut wird 5 
mit Hilfe des privaten Schliissels Sl-D des Zentralrechners 
12 unterschrieben und zum Diensterbringungsrechner 22 
ubermittelt, gegebenenfalls auch in verschliisseiter Form. 
[0056] In einem Verfahrensschritt 78 bestatigt der Dien- 
sterbringungsrechner 22 dem Dienstnutzungsrechner 18, 10 
dass der Auftrag angenommen und die Auslieferung der Bii- 
cher veranlasst worden ist. Zur Ubertragung der Auftra- 
gungsbestatigung wird der gesicherte Obertragungskanal 
zwischen dem Diensterbringungsrechner 22 und dem 
Dienstnutzungsrechner 18 genutzt. 15 
[0057] In einem Verfahrensschritt 80 archiviert der Dien- 
sterbringungsrechner 22 die den Kaufvertrag betreffenden 
Daten in der Datenbank 40, gegebenenfalls verschliisselt. 
[0058] Nachfolgende weitere Verfahrensschritte 82 sind 
durch Punkte angedeutet. Der Diensterbringungsrechner 22 20 
veranlasst iiber ein Logistiksystem die Auslieferung des Bu- 
ches an den Dienstnutzer A. Bei der Ubergabe des Buches 
bestatigt der Dienstnutzer A den Erhalt. Die Bestatigung 
wird beispielsweise uber das Mobilfunknetz 16 mit Hilfe ei- 
ner SMS-Nachricht (Short Message Service) an den Zentral- 25 
rechner 12 ubertragen und dort fur spatere Nachweiszwecke 
gespeichert. Gleichzeitig wird die Uberweisung des Betra- 
ges von DM 300 von dem Treuhandkonto auf ein Konto des 
Diensterbringers B uberwiesen. 

[0059] Fig, 3 zeigt die Bearbeitung der Zahiungsfahig- 30 
keitsanfragc. Die Zahlungsfahigkeitsanfragc wird von der 
Priifeinheit 38 an einen Bankrechner 100 gestellt, der einem 
Kreditinstitut oder einer Bank gehort. Die Zahlungsfahig- 
keitsanfrage wird durch einen Pfeil 102 dargestellt und ent- 
halt Angaben zum Dienstnutzer A sowie Angaben zum Be- 35 
trag. Der Bankrechner 100 iiberpruft, ob eine Deckungszu- 
sage erteilt werden kann. Im Ausfuhrungsbeispiel ist dies 
der Fall und mit Hilfe einer Auskunfl 104 teilt der Bank- 
rechner 100 der Priifeinheit 38 mit, dass der Dienstnutzer A 
die Erlaubnis erteilt hat, von seinem Konto sofort abzubu- 40 
chen. Bei einem anderen Ausfuhrungsbeispiel teiit der 
Bankrechner 100 beispielsweise mit, dass der Dienstnutzer 
einen Kreditrahmen von zehn tausend D-Mark hat. 
[0060] Fur die Obertragung der Zahlungsfahigkeitsan- 
frage 102 und die Ubertragung der Auskunft 104 lassen sich 45 
ebenfalls digitale Schliissel einer Infrastruktur und zugeho- 
rige Zertifikate nutzen, um einem Missbrauch vorzubeugen. 
Bei einem Ausfuhrungsbeispiel werden die zwischen der 
Priifeinheit 38 und dem Bankrechner 100 ausgetauschten 
Daten nach einem digitalen Verschlusselungsverfahren ver- 50 
schliisselt. 

[0061] Die Auskunft 104 des Bankrechners 100 wird in 
dem Dienstnutzerprofil 46 gespeichert. Die Auskunft ist 
vertraulich und wird dem Diensterbringungsrechner 22 
nicht zur Verfugung gestellt. 55 
[0062] Fig. 4 zeigt die Bearbeitung einer Zah lungs attri- 
butanfrage 122, die nach dem Erhalt der Auskunft 104 von 
der Priifeinheit 38 an einen Zahlungsattribut-Server 120 ge- 
richtet wird, der auch als TrustedA-Rechner bezeichnet 
wird. Beispielsweise wird ein TrustedA-Rechner der Firma 60 
SSE eingesetzt, siehe www.sse.ie. 

[0063] Die Zahlungsattributanfrage 122 enthalt u. a. die 
folgenden Daten: 

- den Betrag von DM 300, 65 

- den Namen der Prufeinheit 38, die das Zahlungsat- 
tribut beantragt, und 

- den Namen des Diensterbringungsrechners 22, fur 



den das Zahlungsattribut bestimmt ist. 

[0064] Der Zahlungsattribut-Server 120 stellt ein Zah- 
lungsattribut 124 aus, mit dem folgende Daten zertifiziert, 
d. h. mit einer digitalen Unterschrift SignAS des Attribut- 
Servers versehen, werden: 

- der Betrag von DM 300, 

- den Namen der Prufeinheit 38, die das Zahlungsat- 
tribut 124 beantragt, 

- den Namen des Diensterbringungsrechners 22, fur 
den das Zahlungsattribut 124 bestimmt ist, und 

- ein Ablaufdatum. 

[0065] Das Zahlungsattribut wird in einem Verfahrens- 
schritt 124 vom Attribut-Server 120 zur Prufeinheit 38 iiber- 
mittelt. Die Prufeinheit priift die Angaben und die Unter- 
schrift SignAS mit Hilfe mindestens eines offentiichcn 
Schliissels, der als vertrauensvoll eingestuft ist. 
[0066] Auch der Diensterbringungsrechner 22 priift bei ei- 
nem Ausfuhrungsbeispiel die Echtheit des Zahlungsattribu- 
tes 124, Der Kauf wird nur bestatigt, wenn das Zahlungsat- 
tribut echt ist. 

[0067] Die an Hand der Fig. 1 bis 34 erlauterten Einheiten 
lassen sich mit Hilfe von Prograrnmen realisieren. Einge- 
setzt werden aber auch Schaltungseinheiten ohne einen Pro- 
zessor. Die Funktionen des Zentralrechners 12 lassen sich 
auch auf mehrere Rechner aufteilen, die an verschiedenen 
Stellen des Dateniibertragungsnetzes 10 liegen. 
[0068] Bei einem anderen Ausfuhrungsbeispiel werden 
unterschiedlichc Schliissel zum Vcrschlussein der Daten 
zwischen dem Zentralrechner 12 und dem Diensterbrin- 
gungsrechner einerseits und zum Verschliisseln der in der 
Datenbank 40 zu speichernden Dienst-Dienstnutzerdaten 48 
verwendet. Durch eine Doppelverschlusselung der XJbertra- 
gung auf den Verbindungen 42 und 44 lasst sich die Sicher- 
heit weiter erhohen. 

[0069] Durch den Betreiber des Zentralrechners 12 wer- 
den die Diensterbringer vor der Erteilung einer Zugangsbe- 
rechtigung auf ihre Vertrauenswiirdigkeit hin iiberpruft. 
Auch neue Dienstnutzer werden auf ihre Vertrauenswiirdig- 
keit hin iiberpruft. Durch diese Vorgehensweise lasst sich 
die Akzeptanz der erlauterten Verfahren sowohl auf der 
Seite der Diensterbringer als auch auf der Seite der Dienst- 
nutzer weiter erhohen. 

[0070] Bei einem weiteren Ausfuhrungsbeispiel werden 
die Funktionen des TrustedA-Rechners 120 durch den Zen- 
tralrechner 12 erbracht. Wird der Zentralrechner 12 bei ei- 
nem nachsten Ausfuhrungsbeispiel von einer Bank betrie- 
ben, so lassen sich auch die Funktionen des Bankrechners 
100 durch den Zentralrechner 12 erbringen. 
[0071] Die Funktionen des Zentralrechners 12 werden bei 
einem anderen Ausfuhrungsbeispielen von mehreren Rech- 
nern erbracht, die uber das Internet 14 oder uber Standlei- 
tungen miteinander verbunden werden. 

Patentanspriiche 

1. Verfahren zum Erbringen von Diensten in einem 
Dateniibertragungsnetz (10), 

bei dem eine Zugangsfunktion (36) fur mehrere Dienst- 
nutzungsrechner (18) abhangig von Anforderungen 
von der Seite eines Dienstnutzungsrechners (18) eine 
Verbindung zwischen dem Dienstnutzungsrechner (18) 
und einem von mehreren durch einen Dienstnutzer (A) 
auswahlbaren Diensterbringungsrechner (22 bis 26) er- 
moglicht, 

bei dem in einer zentralen Datenbank (40) fur die ver- 
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schiedenen Dienstnutzer (A) zu sichernde Nutzerdaten 
(46) gespeichert werden, die zur Erbringung der Dien- 
ste verschiedener Diensterbringungsrechner (22 bis 26) 
erforderlich sind, 

bei dem nach der Verbindungsaufhahme zwischen ei- 5 
nem Dienstnutzungsrechner (18) und einem ausge- 
wahlten Diensterbringungsrechner (22) im Rahmen der 
Diensterbringung fiir den den Dienstnutzungsrechner 
(18) nutzenden Dienstnutzer (A) an eine von mehreren 
Diensterbringungsrechner (22 bis 26) genutzte Priifein- io 
heit (38) eine Anforderung gestellt wird, die nur unter 
Verwendung der zu sichernden Nutzerdaten (46) des 
Dienstnutzers (A) bearbeitet werden kann, 
bei dem die Priifeinheit (38) die Anforderung (74) un- 
ter Zugriff auf die zu sichernden Nutzerdaten (46) des 15 
Dienstnutzers (A) bearbeitet und das Bearbeitungser- 
gebnis (76) an den die Anforderung (74) stellenden 
Diensterbringungsrechner (22) ubermittelt, 
und bei dem der Diensterbringungsrechner (22) seinen 
Dienst abhangig vom Bearbeitungsergebnis (76) er- 20 
bringt. 

2. Verfahren nach Anspruch 1, dadurch gekennzeich- 
net, dass die Diensterbringungsrechner (22 bis 26) ver- 
schiedenen Betreibern gehoren, 

dass nach der Anwahl eines Diensterbringungsrechners 25 
dessen Berechtigung zum Stellen einer Anforderung 
mit Hilfe eines Berechtigungspriifverfahrens (68, 74) 
gepriift wird, 

und dass bei bestehender Berechtigung das Bearbei- 
tungsergebnis (76) und bei fehlendcr Berechtigung 30 
kein Bearbeitungsergebnis (76) ubermittclt wird. 

3. Verfahren nach Anspruch 1 oder 2, dadurch gekenn- 
zeichnet, dass die zu sichernden Nutzerdaten (46) ver- 
schlusselt gespeichert werden, und dass die Dienster- 
bringungsrechner (22 bis 24) keinen Zugang zu einem 35 
zum Entschliisseln der zu sichernden Nutzerdaten (46) 
erforderlichen digitalen Schlussel (Sl-D) haben. 

4. Verfahren zum Erbringen von Diensten in einem 
Dateniibertragungsnetz (10), insbesondere nach einem 
der vorhergehenden Anspriiche, dadurch gekennzeich- 40 
net, dass in einer Datenbank (40) Dienst-Nutzerdaten 
(48) gespeichert sind, die dienstbezogene Daten fur die 
Dienstnutzer (A) einzelner Diensterbringungsrechner 
(22 bis 26) enthalten, 

dass nach der Auswahl eines Diensterbringungsrech- 45 
ners (22 bis 26) dessen Berechtigung zum Empfangen 
von Dienst-Nutzerdaten (48) betreffend den durch ihn 
erbrachten Dienst gepriift wird, 
dass an den ausgewahlten Diensterbringungsrechner 
(22) bei bestehender Berechtigung die Dienst-Nutzer- 50 
daten (48) desjenigen Dienstnutzers (A) ubermittelt 
werden, der den ausgewahlten Diensterbringungsrech- 
ner (22) ausgewahlt hat, 

und dass der Diensterbringungsrechner (22) seinen 
Dienst unter Verwendung der ubermittelten Dienst- 55 
Nutzerdaten (48) erbringt. 

5. Verfahren nach Anspruch 4, dadurch gekennzeich- 
net, dass die Dienst-Nutzerdaten (48) verschiiisselt ge- 
speichert und iibertragen werden, und dass verschie- 
dene Diensterbringungsrechner (22, 24) verschiedene 60 
digitale Schlussel (S2-D, S3-D) zum Entschliisseln der 
Dienst-Nutzerdaten (48) verwenden. 

6. Verfahren nach Anspruch 4 oder 5, dadurch gekenn- 
zeichnet, dass die Dienst-Nutzerdaten (48) mit einem 
zentralen Verschlusselungsverfahren verschiiisselt 65 
sind, und dass zum Verschliisseln gemaB zentralem 
Verschlusselungsverfahren ein fur die Dienst-Dienst- 
nutzerdaten verschiedener Diensterbringungsrechner 
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(22 bis 26) gleicher digitaler Schlussel verwendet wird. 

7. Verfahren nach einem der Anspriiche 4 bis 6, da- 
durch gekennzeichnet, dass in einer von mehreren 
Diensterbringungsrechnem (22 bis 26) genutzten Da- 
tenbank (40) digitale Daten uber Zahlungsvorgange flir 
verschiedene Diensterbringungsrechner (22 bis 26) ge- 
speichert werden (80). 

8. Verfahren nach einem der vorhergehenden Ansprii- 
che, dadurch gekennzeichnet, dass die Berechtigung 
des Dienstnutzers (A) unter Verwendung eines Berech- 
tigungspriifverfahrens (60) gepriift wird, und dass die 
Auswahl nur beim Vorliegen einer Berechtigung zuge- 
lassen wird. 

9. Verfahren nach einem der vorhergehenden Ansprii- 
che, dadurch gekennzeichnet, dass die Berechtigungs- 
priifung unter Verwendung von digitalen Schlusseln 
durchgefuhrt wird, die von mindestens einer Zertifizie- 
rungsstelle (28) erzeugt worden sind, und dass die Zer- 
tifizierungsstelle (28) Teil einer Zertirlzierungs-Inrra- 
struktur ist. 

10. Verfahren nach Anspruch 9, dadurch gekennzeich- 
net, dass ein geheimzuhaltender digitaler Schlussel 
(S4-D) fur das Verschliisseln eingesetzt wird, und dass 
der geheimzuhaltende digitale Schlussel (S4-D) in ei- 
ner elektronisch gesicherten Speichereinheit (20) ge- 
speichert ist. . 

11. Verfahren nach Anspruch 10, dadurch gekenn- 
zeichnet, dass die gesicherte Speichereinheit (20) Be- 
standteil einer Chipkarte (20) mit einem Prozessor ist, 
und dass auf die gesicherte Speichereinheit (20) nach 
einer Berechtigungspriifung nur mit dem Prozessor zu- 
gegriffen werden kann. 

12. Verfahren nach einem der vorhergehenden An- 
spriiche, dadurch gekennzeichnet, dass die Anforde- 
rung (74) die Absicherung einer Zahlung betrifft 

13. Verfahren nach Anspruch 12, dadurch gekenn- 
zeichnet, dass die Priifeinheit (38) zur Bearbeitung der 
Anforderung eine Anfrage (102) zum Erhalt eines Zah- 
lungszertifikats (104) an einen Zertirizierungsrechner 
(120) stellt, und dass der Zertirizierungsrechner (120) 
ein digitales Zahlungszertifikat (124) erzeugt, das die 
Zahlung absichert, und dass das Zahlungszertifikat 
uber die Priifeinheit (38) zum Diensterbringungsrech- 
ner (22) weitergeleitet wird. 

14. Verfahren nach Anspruch 12, dadurch gekenn- 
zeichnet, dass die Priifeinheit (38) bei der Bearbeitung 
der Anforderung (74) ein Zahlungszertifikat erzeugt, 
das die Zahlung absichert, und dass das Zahlungszerti- 
fikat an den Diensterbringungsrechner (22) weiterge- 
leitet wird. 

15. Verfahren nach Anspruch 13 oder 14, dadurch ge- 
kennzeichnet, dass das Zahlungszertifikat (124) mit 
Hilfe eines digitalen Schlussels erzeugt wird. 

16. Verfahren nach einem der vorhergehenden An- 
spriiche, dadurch gekennzeichnet, dass die Dienster- 
bringungsrechner (22 bis 26) die Funktion elektroni- 
scher Kaufplattformen fur verschiedene Produkte oder 
Produktgmppen erbringen und/oder elektronischer 
Dienstleistungsplattformen fur verschiedene Dienstlei- 
stungen oder Dienstleistungsgruppen. 

17. Programm mit einer Befehlsfolge, bei deren Aus- 
fuhrung durch einen Prozessor die Verfahrensschritte 
nach einem der vorhergehenden Anspriiche ausgeruhrt 
werden. 

18. Daten verarbeitungsanlage (12), gekennzeichnet 
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durch ein Programm nach Anspruch 17. 
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